Hơn 1 triệu máy tính bị nhiễm mã độc từ web lậu, có nguy cơ bị chiếm đoạt tài khoản ngân hàng

[trungthuc]

Quảng cáo từ trang web lậu có thể khiến cho máy tính của người tiêu dùng bị nhiễm mã độc.

Mới đây, Microsoft đã phát đi lời báo động về một chiến dịch tung ra quảng cáo độc hại lan truyền trên các trang web xem phim lậu, phát tán phần mềm bất hợp pháp, đã lây nhiễm mã độc cho hơn một triệu máy tính để ăn cắp thông tin cá nhân của người tiêu dùng.

Theo trang BleepingComputer.com, hiện tượng cho phát tán này xuất phát từ các trang web phát trực tuyến trái phép, nơi mà người ta tìm kiếm nội dung vi phạm bản quyền. Bọn hacker đã cho sử dụng nhiều loại quảng cáo độc hại để chuyển hướng người xem đến những trang chứa mã độc được lưu trữ trên GitHub, một nền tảng vốn là nguồn mở (open source) bị kiểm soát từ chính những kẻ tấn công.

Các giai đoạn tấn công của bọn tin tặc qua các quảng cáo trên web lậu (Ảnh: Microsoft)

Khi người tiêu dùng cho tải xuống các tập tin chứa mã độc hại từ các trang này, mã độc đầu tiên bắt đầu cho thu thập thông tin từ hệ thống, bao gồm số liệu về hệ điều hành, độ phân giải màn hình, dung lượng bộ nhớ và sau đó gửi thông tin về máy chủ do bọn tin tặc nắm quyền kiểm soát. Tiếp đó, mã độc thứ hai sẽ được triển khai để khai thác sâu hơn vào hệ thống máy đã bị nhiễm.

Phụ thuộc vào loại thiết bị bị nhiễm, mã độc ở giai đoạn hai có thể có vài thay đổi. Ví dụ, trong một số trường hợp, bọn tin tặc sử dụng NetSupport, phần mềm truy cập từ xa (RAT) để kết hợp với các phần mềm nhằm đánh cắp thông tin như Lumma Stealer hoặc Doenerium, có khả năng thu thập số liệu đăng nhập, thông tin về tiền điện tử, tài khoản ngân hàng và nhiều thông tin nhạy cảm khác.

(Minh họa)

Trong nhiều trường hợp khác, mã độc sẽ tải xuống máy một tập tin cho kích hoạt dòng lệnh CMD và cài đặt một công cụ AutoIt được cho đổi tên với phần mở rộng ".com". AutoIt sẽ tiếp tục thực hiện chuỗi lệnh bổ sung, cuối cùng chuyển sang giai đoạn đánh cắp dữ liệu từ hệ thống máy tính người tiêu dùng.

Đa số các tập tin chứa mã độc này được lưu trữ trên GitHub, và Microsoft đã cho loại bỏ ra nhiều kho lưu trữ có liên quan. Không chỉ trên GitHub, mã độc còn được cho phát tán qua các nền tảng khác như Dropbox và Discord. Microsoft chưa thể xác định chính xác nhóm tin tặc nào đứng phía sau chiến dịch này nhưng đã gắn nhãn chúng dưới tên "Storm-0408". Nhóm này nổi tiếng với việc cho phát tán mã độc thông qua các phương thức như lừa đảo qua email, tối ưu hóa công cụ tìm kiếm (SEO) và các quảng cáo độc hại.